"Minecraft" und rechte Youtuber: So tickt die Szene hinter dem Datenleak
Wer verstehen will, wieso sich ein 20-Jähriger Zugang zu privaten Daten von hunderten Politikern, Prominenten und Journalisten verschafft und diese im Netz veröffentlicht hat, muss nicht in die hessische Kleinstadt Homberg (Ohm) fahren. Anfang der Woche sind dort Kamerateams durch die Straßen gezogen, auf der Suche nach jemandem, der etwas sagen kann über den vermeintlichen Hacker. Selbst ein Blick in das Jugendzimmer von 0rbit, der eigentlich Johannes S. heißt, hätte die Journalisten wohl kaum weitergebracht. Der Schreibtisch dürfte leer sein, längst haben Beamte seinen Computer aus dem elterlichen Einfamilienhaus getragen. Wer Antworten sucht, muss nun anderswo beginnen.
Die Spur führt etwa in Hackerforen und Internetchats mit Kennern einer Szene, in der sich 0rbit seit Jahren bewegt haben soll. Die wenigsten von ihnen sind damit an die Öffentlichkeit gegangen oder zur Polizei. Ihre Identität verstecken sie hinter Pseudonymen. Manche wollen schon lange davor gewusst haben, was der Tatverdächtige plante und was ihn antrieb.
Über ein Twitter-Konto veröffentlichte er im Dezember eine Art Adventskalender. Hinter jedem Türchen verbargen sich sogenannte Doxes: persönliche Informationen von Politikern, Prominenten oder Journalisten, Adressen und Handynummern, Passdaten oder andere mehr oder weniger sensible Dokumente. Bekannt wurden diese Leaks am Freitag vergangener Woche.
Spekulationen machten die Runde, der russische Geheimdienst könnte dahinter stecken. Zwei Tage später schnappte das Bundeskriminalamt (BKA) 0rbit. Er soll gestanden haben, die Daten verbreitet zu haben.
Nach Homberg haben die Beamten Hinweise geführt, die Jan S. gegeben haben soll. Das BKA habe ihn verhört und dabei so viel Druck ausgeübt, dass er eingeknickt sei, schreibt Jan S., ein 19-jähriger Teenager, der sich im Netz Janomine nennt, in einer Stellungnahme. Er gibt an, 0rbit seit mehreren Jahren zu kennen. "Ich möchte ganz klar darauf hinweisen, dass ich im Voraus keinerlei Kenntnis von seinen Taten oder Vorhaben im Bezug auf die Datenleaks der Politiker und Prominenten hatte", beteuert Janomine. Unbekannt ist, ob er den Behörden erzählt hat, wie er einige von 0rbits Veröffentlichungen erst möglich gemacht hatte.
Am Anfang ist es nur ein Spiel
Das Unheil soll seinen Ursprung in einer 3D-Welt aus bunten Klötzchen haben. 74 Millionen Menschen haben nach Betreiberangaben im Dezember das Videospiel "Minecraft" gespielt. In den USA soll der Altersdurchschnitt bei 24 Jahren liegen. Wer deutsche Server betritt, trifft auf viele Teenager. Sie lassen ihre Figur mit Pixel-Schwertern auf Zombies eindreschen, sammeln Holz und Steine. Sie entwerfen eigene Landschaften oder bauen im Internet gemeinsam ganze Länder nach. Manchen Nutzern aber reicht das nicht.
Also schreiben sie eigenen Code und zwingen dem Spiel auf diesem Weg ihren Willen auf. Wer "Minecraft + programmieren" googelt, findet Hunderttausende Einträge, viele davon sind konkrete Anleitungen. Das macht "Minecraft" zu einem Einstiegspunkt für junge Entwickler – und offenbar für manchen Hacker. Vieles spricht dafür, dass 0rbit zumindest großes Interesse an dieser Szene hatte.
Eine halbe Autostunde vom Ort der Festnahme entfernt, an der Technischen Hochschule Mittelhessen in Gießen, lehrt Christian Uhl Sicherheit in der Informationstechnik. "Es liegt nicht an dem Spiel, dass sich diese Leute radikalisieren", sagt er. Dennoch zöge "Minecraft" Menschen mit unangenehmen Charakterzügen an. Uhl weiß, wovon er spricht. 2010 hat er einen der zeitweise größten deutschen "Minecraft"-Server ins Leben gerufen. "Das Spiel lässt der Kreativität freien Lauf, bietet aber wenig Schutz vor denjenigen, die das Werk anderer kaputtmachen wollen."
Im Netz kann man sich Videos ansehen, in denen Störer Bauwerke plattmachen und sie durch Hakenkreuze ersetzen. Die meisten von ihnen scheinen junge Männer zu sein. In der Szene nennt man sie "Griefer", weil sie die Zerstörung genießen, Mitspieler beschimpfen und ihnen den Spaß an "Minecraft" rauben. In einigen Fällen hat Uhl versucht, die Vandalen zu sperren. Er schrieb ein Programm, das einen verbannten Spieler von mehreren Servern auf einmal ausschließen sollte. Die "Griefer" wehrten sich, schließlich auch mit technischen Mitteln. "Weil sie es witzig fanden, haben sie alles angegriffen, was sie finden konnten." Mit einem von ihnen hatte er schließlich Streit. Es ist Janomine. Weil er nicht will, dass hierüber berichtet wird, weigert der sich, mit der BZ zu sprechen.
0rbit nutzte anfangs Janomines Doxing-Plattform
Uhl erzählt, Janomine und seine Mitstreiter hätten über Jahre hinweg seinen Server angegriffen, indem sie ihn mit so vielen gleichzeitigen Anfragen von unterschiedlichen Geräten überlasteten, bis die Verbindung für die "Minecraft"-Spieler zusammenbrach. Janomine hat derartige Angriffe gestanden, wie aus einem Dokument hervorgeht, das der BZ vorliegt. Offenbar deshalb – und weil er zu diesem Zeitpunkt erst 17 Jahre alt war – wurde das Verfahren vor dem Amtsgericht Heilbronn im September 2016 eingestellt.
Eine Rolle spielen könnte der Fall dennoch: Christian Uhl sagt, er habe die Behörden schon damals über Janomines Aktivitäten auch in der Doxing-Szene unterrichtet – also in jenen Kreisen, in denen man auf digitale Datenjagd geht. Dort scheint es einen regelrechten Konkurrenzkampf zu geben. Im Oktober 2016 prahlte Janomine auf seiner Website damit, den Betreiber einer Doxing-Plattform – einen 15-Jährigen "Minecraft"-Spieler – ans BKA verraten zu haben. Einträge in Domain-Datenbanken zeigen, dass er selbst schon am 31. März 2015 die Internetadresse dox.sx registriert hatte.
Interessant daran: Auch 0rbit hat diese Website genutzt. Er hat darüber im Sommer 2017 mehrere Doxes veröffentlicht. Ein Amazon-Werbebanner, das im Quelltext der Seite mit einem weiteren Dienst Janomines verknüpft war, zeigt, dass dieser zu jenem Zeitpunkt sogar Geld mit den Veröffentlichungen verdient haben könnte.
Die Plattform könnte dem Vernehmen nach noch weitere Betreuer gehabt haben.
Reiko, Administrator von dox.sx
Einer von ihnen nennt sich Reiko. Bekannt ist über ihn nur, dass er einen Ausschnitt aus einem japanischen Zeichentrickfilm als Profilbild nutzt. "Es gab drei oder vier Administratoren, aber kein richtiges Team", schreibt er auf Englisch in einem verschlüsselten Chat. Heute betreibt er eine Nachfolgeseite von dox.sx, auf die diese kurz vor ihrer Deaktivierung im Sommer 2018 weitergeleitet wurde. Die Daten, die auf der neuen Plattform veröffentlicht wurden, entsprechen zum Teil dem, was 0rbit im Dezember verbreitet hat. Reiko sagt, er habe vor acht Jahren damit angefangen und sei über "Minecraft" in der Doxing-Szene gelandet. "Ich will deutlich machen, wie viele persönliche Daten öffentlich verfügbar sind."
Mancher behauptet, Akteuren wie Reiko gehe es bei ihren Doxes eher um etwas anderes. "0rbit wollte Aufmerksamkeit und Anerkennung für sich selbst", schreibt einer, der angibt, ihn zu kennen, und beim BKA ausgesagt haben will. Aus diesem Grund habe 0rbit sich erst auf die "Minecraft"-Szene konzentriert.
Viele, die dort aktiv sind, filmen sich beim Spielen und übertragen ihre Erlebnisse live. Diese sogenannten "Let’s Player" haben bei Youtube teils Hunderttausende Abonnenten. Eine ganze Reihe von ihnen wurde inzwischen gedoxt, in einem Fall wurde sogar ein Twitter-Konto mit rund 18 000 Followern übernommen. Darüber verbreitete 0rbit den Großteil seiner Leaks. Weil ihm die Aufmerksamkeit, die er dadurch erlangte, offenbar noch nicht reichte, übernahm er für seine Leaks für kurze Zeit auch noch das Twitter-Konto des Youtubers Unge, dem rund zwei Millionen Menschen folgen.
Inzwischen verdichten sich jedoch die Hinweise, dass der 20-Jährige aus der hessischen Kleinstadt noch ein weiteres Motiv für seine Taten gehabt haben könnte. Immer wieder habe er sich abwertend über Flüchtlinge geäußert, erzählt mancher, der ihn kennt. Er sei unzufrieden mit Äußerungen von Politikern gewesen, sagte BKA-Präsident Holger Münch bei einer Pressekonferenz. Betroffen von 0rbits Doxings waren Abgeordnete aller im Bundestag sitzenden Parteien – mit der Ausnahme der AfD. "Es gibt keine polizeilichen oder nachrichtendienstlichen Erkenntnisse, dass er in irgendeiner Form mit politisch motivierter Kriminalität vorher zu tun hatte", so Münch.
Einiges deutet darauf hin, dass er aber zumindest Kontakte in die rechte Youtuber-Szene haben könnte. Und dass ihm Videos gefallen haben, in denen jemand Korane und Silvesterböller zusammenklebt, sie anzündet und am Ende in die Flammen uriniert. Mit Provokationen wie diesen hat der Youtuber "DieVulgäreAnalyse" (DVA) Bekanntheit erlangt. 0rbit soll ein begeisterter Fan sein, heißt es aus seinem Umfeld.
Es gibt Verbindungen in die rechte Szene
DVAs Videos handeln häufig von der Flüchtlingspolitik der Bundesregierung. Sein Gesicht zeigt er nie. Er sei wohl Anfang 20, sagt der Youtuber SallyIsG. Wie DVA ist der 33-Jährige Teil der sogenannten Skeptiker-Community, in der vor allem junge Männer bei Youtube miteinander über Politik sprechen und in die Kamera monologisieren. Es ist auch eine Community von Selbstdarstellern, die sich offenbar gerne reden hören.
"DieVulgäreAnalyse ist rhetorisch stark, hat inhaltlich aber wenig Ahnung", sagt SallyIsG. "Das Problem ist, dass es keinen Qualitätsfilter gibt. Du kannst bei Youtube die Kamera anmachen und musst den Leuten eigentlich nur Selbstbestätigung liefern."
In Kreisen der Neuen Rechten ist DVA eine Art Star. Er hat auch schon Martin Sellner von der Identitären Bewegung Österreich auf seinen Youtube-Kanal eingeladen. Wegen Aktionen wie dieser hat SallyIsG DVA inzwischen vorgeworfen, rechtem Gedankengut eine Bühne zu bieten. Ende 2017 kam es zum Streit. Im Mai 2018 tauchten dann Klarnamen, Adressen und Telefonnummern von SallyIsG und seinen Verwandten auf dem dox.sx-Nachfolger auf. Die Daten kamen von 0rbit.
Hat 0rbit damals für den rechten Youtuber als Handlanger agiert? Fest steht, dass beide einen gemeinsamen Bekannten haben. Spätestens seit Oktober mimt Janomine für "DieVulgäreAnalyse" den Strohmann. Damit der eine seinen Namen vor der Öffentlichkeit verbergen konnte, meldete der andere für ihn zum Beispiel eine Domain an. Im Dezember stand deshalb zum wiederholten Mal der Staatsschutz vor Janomines Tür. Es soll um volksverhetzende Inhalte auf dem Youtube-Kanal gehen, die Behörden wollen wohl prüfen, ob Janomine für seine Beteiligung daran als technischer Betreuer zur Verantwortung gezogen werden kann. Die Staatsanwaltschaft Stuttgart bestätigt, dass in diesem Zusammenhang ein Verfahren läuft.
Es ist unklar, warum Janomine mit DVA zusammenarbeitet. Im Fall von 0rbit lassen sich auf Youtube unter einem seiner Pseudonyme aber Kommentare zu Videos finden, die für eine rechte politische Einstellung sprechen. "Islam ist Dreck", lautet einer. Ein anderer: "Kinderspiele sind vorbei, die AfD wird die ganzen Clans etc. nicht wegkriegen, da braucht man die NPD, um ordentlich aufzuräumen." Von der 3D-Welt aus bunten Bauklötzchen scheint er inzwischen weit weg.
Jan S. alias Janomine hat sich nach der Veröffentlichung dieses Artikels in der Nacht auf Samstag, den 12. Januar 2019, schriftlich bei der Badischen Zeitung gemeldet. Er streitet ab, Server von Christian Uhl angegriffen und dies gestanden zu haben.